Administration

Le composant logiciel enfichable de stratégie de groupe, installé avec les outils d'administration, vous permet de créer et de gérer les paramètres de Specops Password Notification dans les objets de stratégie de groupe. Les paramètres sont stockés comme une partie du GPO. La gestion des paramètres de Specops Password Notification dans la stratégie de groupe vous permet de contrôler comment et où les politiques sont appliquées.

Création d'une configuration

Dans la console de gestion des stratégies de groupe (GPMC), créez un nouveau GPO ou sélectionnez un existant qui contient les utilisateurs que vous souhaitez notifier.
Ouvrez l'éditeur de stratégie de groupe en cliquant avec le bouton droit sur le GPO et en sélectionnant Modifier.
Dans l'éditeur de stratégie de groupe, développez Configuration utilisateur, Politiques, nœud Paramètres Windows, et sélectionnez Specops Password Notification. Cliquez sur Créer une configuration.

Si une configuration a déjà été faite, vous verrez un aperçu de la configuration lorsque vous cliquez sur la configuration utilisateur de Specops Password Notification. Pour modifier une configuration existante, cliquez sur le bouton Modifier la configuration. Pour supprimer une configuration, cliquez sur le bouton Supprimer la configuration. Notez que la suppression d'une configuration supprimera tous les modèles associés à cette configuration.

Création de modèles de notification par email

Les modèles de notification par email sont des notifications par email configurables qui sont envoyées aux utilisateurs finaux pour les informer de l'expiration prochaine de leur mot de passe. Ceux-ci peuvent être envoyés à un jour particulier (par exemple, 3 jours avant l'expiration du mot de passe), ou dans un certain intervalle (par exemple, de 10 à 1 jour(s) avant l'expiration du mot de passe). Vous pouvez créer autant de modèles d'email que vous le souhaitez. Notez que l'heure de la journée à laquelle les notifications seront envoyées dépend de la configuration du paramètre de registre PollingTime (l'heure par défaut est 00:00).

Dans le GPO en question, créez ou modifiez une configuration (veuillez vous référer à la section ci-dessus sur la façon de créer ou modifier une configuration).
Cliquez sur Modèles de notification par email dans la navigation de gauche.
Cliquez sur le bouton Nouveau pour créer un nouveau modèle.
Remplissez tous les champs du modèle:
- Jours: définit le nombre de jours avant l'expiration du mot de passe. Cela peut être un jour spécifique (par exemple, 3) ou un intervalle (par exemple, 20-10). Notez que vous pouvez également combiner plusieurs jours et intervalles, tant que vous les séparez par des virgules (par exemple, 10-5, 1 pour l'intervalle de 10 à 5 jours avant l'expiration et 1 jour avant l'expiration). Si vous souhaitez envoyer deux notifications différentes (avec des textes différents), vous devez créer deux modèles.
- Adresse de l'expéditeur: définit l'adresse à partir de laquelle le mail est envoyé. Notez que la configuration SMTP réelle pour l'email est définie dans le menu de configuration SMTP (voir section ci-dessous).
- Nom d'affichage de l'expéditeur: définit le nom de l'expéditeur affiché dans l'email.
- À: définit l'adresse email du destinataire. Cela devrait généralement être défini sur l'espace réservé %mail% pour l'envoyer à l'utilisateur en question.
- CC: définit l'adresse email où une copie peut être envoyée.
- Priorité de l'email: définit la priorité de la notification par email. Peut être réglée sur Haute, Normale, ou Basse.
- Objet: la ligne d'objet de l'email.
- Corps: le texte du corps de l'email.

Copier un modèle

Les modèles peuvent être copiés en sélectionnant un modèle existant et en cliquant sur le bouton Nouvelle copie.

Remarque

les copies des modèles doivent être enregistrées en cliquant sur OK une fois que vous avez effectué toutes vos modifications. Cliquer sur Annuler entraînera la suppression de la copie.

Suppression de modèles

Les modèles peuvent être supprimés en sélectionnant le modèle que vous souhaitez supprimer et en cliquant sur le bouton Supprimer.

Texte de l'espace réservé

Dans la plupart des champs de modèle, un texte d'espace réservé peut être saisi, ce sont des variables qui seront remplacées par des valeurs pertinentes spécifiques à l'utilisateur final auquel l'email est envoyé. Ainsi, le texte « Votre mot de passe expirera dans %TotalDaysLeft% jours, » pour un modèle défini sur un intervalle de 20-10 jours (dans le champ Jours ci-dessus), sera envoyé à tous les utilisateurs concernés dont le mot de passe expirera entre 20 et 10 jours, et sera converti en « Votre mot de passe expirera dans 12 jours. » pour un utilisateur dont le mot de passe expirera dans 12 jours, tandis qu'il dira « Votre mot de passe expirera dans 19 jours. » pour les utilisateurs dont les mots de passe expireront dans 19 jours.

Pour insérer des textes d'espace réservé, cliquez avec le bouton droit à l'intérieur du champ où vous souhaitez insérer l'espace réservé, et choisissez dans la liste qui apparaît.

Les espaces réservés suivants sont disponibles:

%mail%: adresse email de l'utilisateur final.
%TotalHoursLeft: nombre d'heures restantes avant l'expiration du mot de passe.
%TotalDaysLeft%: nombre de jours restants avant l'expiration du mot de passe.
%HoursLeft%: nombre d'heures restantes le dernier jour avant l'expiration. Cela peut être utilisé en conjonction avec %TotalDaysLeft% pour donner une heure d'expiration plus précise. Par exemple, « Votre mot de passe expirera dans %TotalDaysLeft% jours et %HoursLeft% heures. »
%PasswordExpirationTime%: la date et l'heure d'expiration affichées dans le Fuseau horaire défini dans la configuration du format de date ; le format est déterminé par la Région pour le format de date.
%PasswordExpirationTimeUtc%: la date et l'heure d'expiration affichées en temps UTC. Notez que cet espace réservé est un espace réservé hérité et sera supprimé dans les futures versions ; il n'apparaîtra pas non plus dans le menu contextuel.

Configuration des paramètres SMTP

Les paramètres SMTP doivent être configurés avant que la configuration puisse être enregistrée.

Dans le GPO en question, créez ou modifiez une configuration (veuillez vous référer à la section ci-dessus sur la façon de créer ou modifier une configuration).
Cliquez sur Configuration SMTP dans la navigation de gauche.
Remplissez tous les champs de la configuration:
- Nom du serveur SMTP: nom du serveur SMTP utilisé pour envoyer les emails de notification.
- Numéro de port SMTP: port utilisé pour la communication SMTP (par défaut, Port 25).
- Méthode d'authentification: définit comment le compte utilisateur est authentifié lors de l'envoi d'emails par SMTP.
  - En tant que compte de service (par défaut): utilise les informations d'identification du compte qui exécute le service.
  - Identifiants personnalisés: utilise le nom d'utilisateur et le mot de passe dans les champs ci-dessous
  - Anonyme: identique au compte de service, mais l'adresse n'est pas partagée avec le destinataire.
- Nom d'utilisateur et mot de passe: utilisés lorsque Identifiants personnalisés ci-dessus est choisi.

Remarque

le compte choisi doit avoir les privilèges corrects pour envoyer des mails via SMTP.

Configuration de la date et de l'heure

Le format de date et les paramètres de temps déterminent comment l'espace réservé %PasswordExpirationTime% est converti.

Dans le GPO en question, créez ou modifiez une configuration (veuillez vous référer à la section ci-dessus sur la façon de créer ou modifier une configuration).
Cliquez sur Format de date dans la navigation de gauche.
Remplissez tous les champs de la configuration:
- Région pour le format de date: détermine le formatage de la date pour l'espace réservé %PasswordExpirationTime%.
- Fuseau horaire: définit le fuseau horaire pour l'espace réservé %PasswordExpirationTime%.

Remarque

Assurez-vous de choisir une région et un fuseau horaire qui correspondent aux utilisateurs affectés par le GPO. Si vos utilisateurs sont situés dans différentes régions/fuseaux horaires, vous pouvez créer plusieurs GPO pour différents groupes d'utilisateurs avec les paramètres correspondants.

Application des paramètres de politique

Specops Password Notification lira l'âge maximum du mot de passe à un moment déterminé par le paramètre de registre PollingTime. C'est également le moment où les notifications sont envoyées aux utilisateurs correspondant aux critères de notification. L'heure par défaut est 00:00.

La politique de mot de passe s'appliquera à tous les comptes d'utilisateurs dans les emplacements où votre GPO est lié.

Si plus d'un GPO est lié au même niveau, l'ordre de lien des GPO détermine l'ordre dans lequel les GPO seront traités. Si des paramètres conflictuels de plusieurs GPO s'appliquent à un utilisateur, la stratégie de groupe résoudra le conflit. Les objets de stratégie de groupe sont appliqués dans l'ordre suivant ; Le GPO le plus proche de l'objet utilisateur dans AD aura la priorité la plus élevée:

Objets de stratégie de groupe locaux
Objets de stratégie de groupe liés au site
Objets de stratégie de groupe liés au domaine
Objets de stratégie de groupe liés à l'OU

Si l'ordre ci-dessus ne vous permet pas d'appliquer vos paramètres préférés, vous pouvez utiliser le filtrage de sécurité pour contrôler au niveau des autorisations quels utilisateurs et ordinateurs seront affectés par le GPO. Le filtrage de sécurité vous permet d'appliquer différents paramètres de politique à des objets situés au même niveau dans Active Directory.

Specops Password Notification avec Specops Password Policy

Remarque

Si vous êtes un client de Specops Password Policy, vous pourriez avoir déjà configuré des emails d'expiration de mot de passe à envoyer dans vos paramètres d'expiration de mot de passe. Veuillez vérifier vos paramètres de notification Specops Password Policy avant de configurer Specops Password Notification pour éviter d'éventuels conflits.

Pour les utilisateurs utilisant Specops Password Notification avec Specops Password Policy, notez que Password Notification tiendra compte de la fonctionnalité de vieillissement des mots de passe basée sur la longueur dans Password Policy. Le vieillissement basé sur la longueur encourage les utilisateurs à créer des mots de passe plus longs et plus sécurisés, et les récompense en leur donnant plus de temps avant que leurs mots de passe n'expirent.

Remarque

pour que Specops Password Notification puisse lire les paramètres d'expiration personnalisés, le compte de service utilisé pour exécuter le serveur Specops Password Notification doit faire partie du groupe de sécurité configuré pour les expirations personnalisées dans Specops Password Policy. Pour trouver le bon groupe de sécurité, accédez à l'administration de domaine Specops Password Policy et allez dans les paramètres de domaine. La section Paramètres de sécurité affichera les informations pour le bon groupe de sécurité.

En savoir plus sur le vieillissement des mots de passe basé sur la longueur.

Le nombre de jours défini dans la configuration de Specops Password Notification fera référence à la date d'expiration du mot de passe dictée par la longueur du mot de passe de l'utilisateur.